بیش از سیصد هزار اکانت اسپاتیفای در حمله credential stuffing هک شدند!!

بیش از سیصد هزار اکانت اسپاتیفای در حمله credential stuffing هک شدند!!

بیش از سیصد هزار اکانت اسپاتیفای هک شدند! این حمله با استفاده از روش ...

بیش از سیصد هزار اکانت اسپاتیفای در حمله credential stuffing هک شدند!!

هکر ها با استفاده از یک بانک اطلاعاتی که سوابق جزییات ورود 380 میلیون کاربر از مکان های مختلف در آن جمع آوری و در آن ذخیره میشده تلاش کردند تا به اکانت های اسپاتیفای دسترسی پیدا کنند. برای سال های بسیاری است که کاربران بابت هک شدن اکانت هایشان بعد تغییر پسوورد ، اضافه شدن پلی لیست و یا اضافه شدن افراد غریبه از کشور های مختلف به اکانت های خانوادگیشان شاکی هستند.

نمونه هایی از اعتراض کاربران :

 

spotify

 

سوابق 300 میلیون کاربر برای هک کردن اکانت های اسپاتیفای استفاده شده :

یک روش حمله ی معمول که در این حمله استفاده شده Credential Stuffing نام دارد ، وقتی که هکرها برای حمله از بانک اطلاعاتی انبوه از نام کاربری و کلمه عبور که در اثر نقص امنیتی یا روش های دیگری لو رفته و در پلتفرم های مختلف جمع آوری شده اند استفاده میکنند.

امروز ، “VPNMentor”  از بانک اطلاعاتی لو رفته که شامل اطلاعات بیش از 300 میلیون کاربر میشده گزارشی تهیه کرده اند. هر ذخیره ای در بانک اطلاعاتی پیدا شده شامل یا نام کاربری (ایمیل) ، یک پسوورد ، هر اطلاعات اعتباری لازم جهت ورود به اسپاتیفای همانند تصویر زیر بوده:

 

spotify

 

البته معلوم نیست که چطور اطلاعات این 300 میلیون کاربر جمع آوری شده ، اما احتمال میرود از روش هایی همچون Data breach یا بانک اطلاعاتی هایی که بصورت معمول توسط هکرها بصورت رایگان منتشر میشوند.

متخصصان معتقدند که "این سیصد میلیون بانک اطلاعاتی به هکرها اجازه داده تا به 300 هزار تا 350 هزار اکانت اسپاتیفای نفوذ کنند. اسپیتفای در جواب برای همه ی کاربران یک “rolling reset” را اعمال کرد تا با اینکار ارزش بانک اطلاعاتی و تاثیر گذاری آنرا پایین بیاورد."

همچنین اسپاتیفای در جولای برای کاربرانی که در معرض خطر بودند ، بازنشانی رمزعبور انجام داد.

اسپاتیفای از احراز تصدیق هویت چند عاملی پشتیبانی نمیکند که تاثیر زیادی در امنیت حساب کاربر دارد ، گرچه کاربران چندین بار این قضیه را درخواست کرده اند.